IT가 발전하면서 각종 생활 기기에도 IT가 접목되어 더욱 편해지기도 하지만, 그만큼 사용방법이 복잡해 지기도 합니다.
자동차에서도 보면, 각종 자세 제어장치, ABS, 자동 주차 시스템 등과 같은 최첨단 기술이 사용되고 있습니다.
그런데 만약 자동차에서도 백신이 필요하게 될 것이라는 얘기를 한다면?
최근, 미국의 노스 캐롤라이나 대학과 럿져(Rutgers)에서 공동 연구한 결과, 자동차도 해킹을 당할 수 있으며, 이를 막기 위한 보안 장치 즉 백신이 필요한 세상이 올 수 있다고 합니다.
2008년도부터 미국에서는 타이어의 공기압력을 확인하여 운전자에게 바람이 부족하거나, 펑크가 났는지 알려주는 타이어 압력 센서가 장착된 차량이 시판되고 있습니다. EU와 우리나라에서는 아마 2012년도부터 가능할 것으로 알고 있습니다.
센서가 탑재된 타이어에는 미세한 전류로 동작하는 RFID(Radio Frequency Identification) 태그가 들어 있으며, 무선 통신을 통해 TPMS(타이어 압력 감지 시스템, Tyre Pressure Systems)와 연동되어 있습니다. 또한 TPMS는 자동차의 두뇌, 즉, 컴퓨터에 해당하는 ECU(Electronic Control Units)에 데이터를 전송할 수 있으며, 만약 타이어 압력이 낮은 경우에는 자동차 전면 콘솔에 경고 신호로 알려 줄 수 있습니다.
문제는 해킹한 이후에 잘못된 데이터를 보내게 해서 ECU가 혼란을 일으키면서 오작동하게 되어 자동차의 운행을 방해할 수 있다는 것입니다.
이런 해킹이 가능한 이유는 바로 RFID가 통신하는 방식의 취약성 때문입니다. RFID는 32비트 값을 가지며, 특히 통신 방식이 암호화되지 않고 평문으로 전송됩니다. 이렇기 때문에 해커가 특정한 RFID 값을 획득하게 되는 경우에 치명적인 문제를 야기할 수 있을 가능성이 높습니다. 참고로, RFID는 약 40m 거리까지 사용할 수 있으므로, 자동차의 근처에서 손쉽게 작업(!)할 수 있는 장점도 가집니다.
아마도 ECU에도 백신과 같은 보안 제품이 탑재되어 올 날이 얼마 남지 않았을 수도 있습니다. 아니면, 자동차 광고에 "우리 자동차에는 X3 백신이 설치되어 있어 안전합니다!" 등의 광고 문구가 포함될 지도 모릅니다.
최근 IT에서 주목을 받고 있는 분야가 바로 그린(절전)과 클라우드 컴퓨팅 분야입니다. 가장 대표적인 예로는 구글의 지메일에 관련된 서비스를 들 수 있으며, 외국 보안 업체들도 날로 증가하는 악성 프로그램에 대응하기 위한 하나의 수단으로 자리매김하고 있습니다.
클라우드는 보통 Saas 서비스로 받으며, 실제 서버를 두고 운영하는 측면에 비해 매우 편리한 것임에는 틀림없습니다. 하지만, 도입에 앞서 보안 이라고 하는 측면에서 검토해 본 적이 있는지 한번 질문을 해봅니다.
아마도, 보안은 알아서 잘 해주겠지. 뭐 하는 등의 무사태평한 경우가 대부분일 것입니다.
지금 소개할 일화는 최근 발생한 모 회사가 서비스로 운영하는 웹사이트가 해킹을 지속적으로 당해 회사의 이미지가 크게 손상되고, 비용 또한 많이 지불하게 되는 실제 사례입니다.
A 라는 호스팅 업체에서는 고객들의 웹 사이트를 대부분 클라우드화하여 서비스로 제공하고 있는 상태였습니다.
고객 중 하나인 B는 수집하는 법률 자료에 대한 비용을 청구하는 금융 서비스를 웹 기반으로 운영하기 위해 A에서 서비스를 받았습니다. 2007년도에 처음 서비스에 가입하면서 도입 비용자체가 매달 6.95 달러 정도로 매우 저렴했으며, A 사 자체의 시장 평가도 꽤 높았습니다.
하지만, 지난 1월에 B사 웹사이트는 SQL 인젝션 공격을 당해 웹으로 보여지는 페이지에 악성 코드가 삽입되는 피해를 입었습니다. 이러한 공격은 지속적이었으며 심지어는 악성 코드까지 배포하는 상태까지 이르렀습니다. 심지어 2월 달에는 일주일에 2번 정도 사이트가 중지되고, 3월달에 이르러서는 매일 다운되는 사태가 발생했습니다.
한편, 구글 검색 엔진에서는 이러한 감염을 인식하고 검색 페이지에서 이를 표시하는 바람에 회사의 이미지가 많이 훼손되기에 이르렀습니다. 그 뿐만 아니라, 서비스를 이용하는 자사 고객(변호사)들 조차도 이렇게 해킹을 당하는데 우리가 제공하는 파일이나 개인정보가 제대로 안전하게 보호되고 있는지 의문을 표할 정도로 최악의 상태로 치닫게 되었습니다.
B 회사에서는 모든 중요 정보를 이메일을 통해서 주고받았기 때문에 실제 웹사이트의 해킹으로는 그 정보들이 노출되지 않은 것은 다행이 아닐 수 없습니다.
B은 A에게 이러한 문제점을 알리고 해결해 주길 요청했었지만, 실제로 A가 해결해 줄 것이라고는 믿지 않게 되었습니다.
B 사는 감염된 부분을 해결하는 방법과 홈페이지를 닫는 방법에 대해서 알려 주었지만 실제로는 해결된 바가 없으므로 매번 동일하게 피해가 발생하고 이를 대응하는 수준에 머물렀습니다.
결론적으로, A 사는 호스팅 업체를 바꾸고 매달 400 달러의 서비스 비용을 내고 보안에 관련된 취약점을 모두 해결함과 동시에 안정적인 서비스를 운영하고 있다는 행복한 얘깁니다.
간단히 정리했지만, 매우 중요한 부분이 아닐 수 없습니다.
즉, 서비스 기반에서 정보를 다루는 주체는 바로 서비스 업체입니다. 이 업체에서 책임져야 하는 부분이 어디까지인지 명확히 구분해야 하는 것이 필요합니다. 예를 들면,
1. Uptime - 서비스를 항상 운영할 수 있는 능력. 예를 들면 99.5%
2. 데이터 보관 - 중요한 데이터를 어디에 보관할 것인지. 예를 들면, 국내, 국외
3. 백업 - 백업은 언제, 누가할 것인지, 가장 중요한 어디에 보관할 것인지
4. 보안 - 해킹, 웹 취약점 등 다양한 공격 경로에 따른 책임 소재
최근 보안 전문가들은 아르헨티나 정부가 가지고 있는 다수의 웹사이트가 해킹되어 BHSEO(Black Hat Serach Engine Optimization Campaign)에 이용되고 있는 것을 발견했다고 밝혔으며, 일부 사이트에서는 악성코드까지 배포하기도 했다고 합니다.
이러한 사실은 보안 전문 기업인 Sucuri Security에 의해 밝혀졌으며, 이 회사는 웹 기반의 무결성 모니터링 및 악성코드 유포 진단 솔루션을 보유하고 있습니다. 이 회사의 블로그에 관련자료가 업로드되어 있어 간단하게 정리해 소개합니다.
해킹된 아르헨티나의 정부 웹사인트는 아래와 같으며, 스패머가 BHSEO로 이용하고 있습니다.
해킹된 사이트는 구글 검색창에서 inurl:.gov.ar "cheap viagra" 또는 inurl:.gov.ar "cheap cialias" 단어를 입력하여 찾을 수 있습니다.
재미있는 사실은 아무도 해킹되어 스팸이 발송되고 있는지 파악하지 못하고 있었다는 것이며, 따라서 치료와 같은 아무런 조치가 취해지지 않았습니다. 일부 사이트에서는 악성코드 자체가 업로드되기도 했습니다.(예. http://www.sanmartin.gov.ar/sitio/noticias/)
공격자들은 해당 사이트가 검색 엔진에서 높은 순위를 가지고 있다는 점에 착안하여 공격한 것으로 추측되며, 물론 'viagra', 'cialas'를 검색한 경우를 말합니다.
해킹당한 사이트를 살펴 본 결과, 취약점을 가지고 있는 예전 버전의 워드프레스를 사용하거나 SQL 인젝션 취약점을 가지고 있는 일부 웹 애플리케이션을 통해 발생한 것으로 추측됩니다.
한편, 애플이 iMovie 제품을 아이폰 4에만 독점적으로 제공하는 데에 대한 여러가지 설이 있습니다. 어떤 사람은 아이폰 3GS의 낮은 CPU와 메모리 때문에 iMovie를 실행할 때 문제가 있기 때문이라고도 하고, 어떤 사람은 아이폰 4에서 새롭게 제공하는 기능이 부족하기 때문일 것이라도 합니다.
지난 주에 전자상거래 사이트인 Digital River를 해킹하여 성명, 주소, ID, 메일 주소 등과 같은 개인정보를 약 20만건 해킹하여 노출된 사건이 발생했습니다.
이 해킹사건는 19세 소년이 저지른 것으로 밝혀졌으며, 빼낸 개인 정보를 50만 달러에 팔려고 한 것으로 알려지고 있습니다. Eric Porat이라는 남자는 Media Breakaway에 정보를 팔려고 시도했으며 이 회사는 Digital River 회사의 대리인으로 나온 것이었습니다.
한편, 회사의 보안 서버에 검색 명령어를 통해 빼낸 것으로 알려지지만 자세한 사항은 알기 어렵습니다만, 최근의 추세로 볼 때 SQLi 취약점으로 인한것이 아닌가 싶습니다.
